kubernets 1.23 user account创建与角色及角色绑定

已于 2022-03-28 17:11:37 修改
阅读量2.2k 收藏
点赞数
分类专栏: kubernetes 文章标签: kubernetes
于 2022-03-02 17:22:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leeqiand/article/details/123234431
版权

无说明的情况下,以下操作均在/etc/kubernetes/pki目录下执行

root@master:/etc/kubernetes/pki# cd /etc/kubernetes/pki

1,创建用户密钥

root@master:/etc/kubernetes/pki# openssl genrsa -out  leeqiand.key 2048

Generating RSA private key, 2048 bit long modulus (2 primes)
.........+++++
...........................+++++
e is 65537 (0x010001)

2,创建证书签署请求

#CN= 用户名

root@master:/etc/kubernetes/pki# openssl req -new -key leeqiand.key -out leeqiand.csr -subj "/CN=leeqiand"

3,签署证书

root@master:/etc/kubernetes/pki# openssl  x509 -req -in leeqiand.csr -CA ca.crt -CAkey ca.key  -CAcreateserial -out leeqiand.crt -days 365
Signature ok
subject=CN = leeqiand
Getting CA Private Key

查看生成的文件

root@master:/etc/kubernetes/pki# ls |grep leeqiand
leeqiand.crt
leeqiand.csr
leeqiand.key

4,创建kubeconfig文件

创建集群信息

--server根据实际信息填写即可

    root@master:/etc/kubernetes/pki# kubectl config set-cluster kubernetes --certificate-authority=ca.crt --embed-certs=true --server=https://10.0.2.2:6443 --kubeconfig=leeqiand.kubeconfig
    Cluster "kubernetes" set.



    root@master:/etc/kubernetes/pki# cat leeqiand.kubeconfig
    apiVersion: v1
    clusters:
    - cluster:
        certificate-authority-data:

        。。。。。。。。。。。。
    server: https://10.0.2.2:6443
  name: kubernetes
contexts: null
current-context: ""
kind: Config
preferences: {}
users: null

创建用户

root@master:/etc/kubernetes/pki# kubectl config set-credentials leeqiand --client-certificate=/etc/kubernetes/pki/leeqiand.crt --client-key=/etc/kubernetes/pki/leeqiand.key --embed-certs=true --kubeconfig=leeqiand.kubeconfig
User "leeqiand" set.


创建context

root@master:/etc/kubernetes/pki# kubectl config set-context leeqiand@kubernetes --cluster=kubernetes --user=leeqiand --kubeconfig=leeqiand.kubeconfig
Context "leeqiand@kubernetes" created.


5,创建role以及rolebinding

(任意目录)

role以及rolebinding网上资料较多,仅做一简单范例

role:

root@master:~/kube/sa# cat role.yaml 
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
  namespace: default
  name: lee
rules:
- apiGroups: [""] 
  resources: ["pods"]
  verbs: ["get", "watch", "list", "create", "update", "patch"]

rolebinding

root@master:~/kube/sa# cat rolebind.yaml 
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: mytest
  namespace: default
subjects:
- kind: User
  name: leeqiand 
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: lee 
  apiGroup: rbac.authorization.k8s.io

创建:

root@master:~/kube/sa# kubectl  create -f role.yaml 
role.rbac.authorization.k8s.io/lee created
root@master:~/kube/sa# kubectl  create -f rolebind.yaml 
rolebinding.rbac.authorization.k8s.io/mytest created
root@master:~/kube/sa# kubectl  get role,rolebinding
NAME                                 CREATED AT
role.rbac.authorization.k8s.io/lee   2022-03-02T09:12:25Z

NAME                                           ROLE       AGE
rolebinding.rbac.authorization.k8s.io/mytest   Role/lee   42s


 

6,将配置文件分发给普通用户

root@master:/etc/kubernetes/pki# cp leeqiand.kubeconfig  /home/lee/.kube/config
root@master:/etc/kubernetes/pki# chown lee:lee /home/lee/.kube/config

切换到普通用户

root@master:/etc/kubernetes/pki# su - lee
lee@master:~$ cd .kube/
lee@master:~/.kube$ ls
config

lee@master:~/.kube$ kubectl  get pods
The connection to the server localhost:8080 was refused - did you specify the right host or port?

因为没指定current-context,手动修改config

lee@master:~/.kube$ vim config 

contexts:
- context:
    cluster: kubernetes
    user: leeqiand
  name: leeqiand@kubernetes
current-context: leeqiand@kubernetes


7,测试

由于我们授予了create权限,所以可以创建pod,但是并无delete权限,所以无法delete,由以下测试可以查看与预期相符

lee@master:~/.kube$ kubectl  get pods 
NAME   READY   STATUS    RESTARTS        AGE
dns    1/1     Running   22 (165m ago)   21d
lee@master:~/.kube$ kubectl  run nginx --image=nginx
pod/nginx created
lee@master:~/.kube$ kubectl  get pods 
NAME    READY   STATUS    RESTARTS        AGE
dns     1/1     Running   22 (165m ago)   21d
nginx   1/1     Running   0               10s
lee@master:~/.kube$ kubectl  delete pod nginx
Error from server (Forbidden): pods "nginx" is forbidden: User "leeqiand" cannot delete resource "pods" in API group "" in the namespace "default"
lee@master:~/.kube$

leeqiand
关注
专栏目录
二进制方式搭建Kubernetes高可用集群(超丰富的组件概念理论总结)
江晓龙的博客
09-23 7万+
二进制方式部署Kubernetes高可用集群 文章目录二进制方式部署Kubernetes高可用集群1.环境准备1.1.Kubernetes高可用集群部署方式1.2.Kubernetes集群弃用docker容器1.3.Kubernetes集群所需的证书1.4.环境准备1.5.安装cfssl证书生成工具2.操作系统初始化配置3.部署Etcd集群3.1.使用cfssl证书工具生成etcd证书3.2.部署etcd集群4.部署Docker服务4.1.安装docker4.2.为docker创建systemctl启动脚本
【云原生】kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
热门推荐
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
kubectl管理用户: role, rolebinding, use-context
eyeofeagle的博客
09-26 3257
1, 创建用户,上下文 a, 创建用户凭证 #生成私钥: 用户名.key openssl genrsa -out wang.key 2048 #使用刚刚创建的私钥创, 建证书请求签名用户名.csr,在-subj中指定用户和组 openssl req -new -key wolken.key -out wolken.csr -subj "/CN=wang/O=test1" #在/etc/ku...
kubernetes基于角色授权
weixin_33737134的博客
03-20 239
网上很少有地方涉及到在角色授权时,如何对User Group授权。我们都知道在做角色绑定的时候,会有kind: User,kind: Group,但是实际上,Kubernetes并没有提供User、Group资源创建接口,那这两个怎么使用呢?下面以一个实例来说明一下前提条件:kube-apiserver必须是运行在安全端口模式下,这里基于CA根证书签名的双向数字证书认证方式。...
kubernetes k8s rbca RoleBinding ClusterRolebinding ClusterRole Role 配置讲解
最新发布
it知识分享 free for nothing..
08-28 1267
kubernetes k8s rbca RoleBinding ClusterRolebinding ClusterRole Role 配置讲解
rbac 一个用户对应多个账号_Kubernetes之RBAC授权控制
weixin_39946964的博客
11-26 179
01、前言众所周知,kubernetes API是kubernetes的核心组件,kubernetes API以REST接口的形式将Pods、Service、Deployment等信息定义为资源,而这些资源我们又是怎样操作它们的呢?在kubernetes 1.6之后社区逐渐使用RBAC的认证模式,下面将会详细介绍这种认证模式。02、kubernetes的认证机制  1)如何访问kubernetes...
k8s集群角色绑定用户
a1308422754的博客
02-16 1293
k8s集群角色绑定用户 把系统的匿名用户 绑定到cluster-admin上 kubectl clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous
深入理解 Kubernetes 中的用户与身份认证授权
云原生实验室
11-23 1044
❝本文转自 Cylon 的博客,原文:https://www.cnblogs.com/Cylon/p/16905335.html,版权归原作者所有。欢迎投稿,投稿请添加微信好友:cloud-native-yang本章主要简单阐述 kubernetes 认证相关原理,最后以实验来阐述 kubernetes 用户系统的思路。主要内容:了解 kubernetes 各种认证机制的原理了解 kubernet...
Kubernetes(k8s)高可用简介与安装
MKC__jiaoq的博客
03-07 7701
一、简介 Kubernetes是Google 2014年创建管理的,是Google 10多年大规模容器管理技术Borg的开源版本。它是容器集群管理系统,是一个开源的,用于管理云平台中多个主机上的容器化的应用,Kubernetes的目标是让部署容器化的应用简单并且高效(powerful),Kubernetes提供了应用部署,规划,更新,维护的一种机制 Kubernetes一个核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着(比如用户想让apache一直运行,用户不需要关心
kubernetes】部署kube-apiserver与kubectl
weixin_45842494的博客
06-20 1015
二进制部署kubernetes集群在企业应用中扮演着非常重要的角色。无论是集群升级,还是证书设置有效期都非常方便,也是从事云原生相关工作从入门到精通不得不迈过的坎。通过本系列文章,你将从虚拟机准备开始,到使用二进制方式从零到一搭建起安全稳定的高可用kubernetes集群,对各个组件的部署过程有一个清晰的认识。我将展现完整的集群搭建过程,重点部分将进行说明。并提供一站式、完整的资源文件包。希望通过本系列的学习,你能真正学习到有价值的知识,更好得应对工作中遇到的问题。如有疑问,可扫码联系我。
kubernetes
FK_凡柯的博客
06-05 416
本章节主要介绍应用程序在服务器上部署方式演变以及kubernetes的概念、组件和工作原理。
K8S管理工具-Kuboard
JAVAquxiao__的博客
05-29 351
Kuboard 是一款免费的 Kubernetes 管理工具,提供了丰富的功能,结合已有或等,可以便捷的搭建一个生产可用的 Kubernetes 容器云平台,轻松管理和运行云原生应用。
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
liuyij3430448的博客
02-24 2709
快速上手k8s权限管理 立即掌握User Role RoleBinding kubeconfig 实战教程
如何向Kubernetes中的节点添加角色
qq_35837864的博客
06-01 2628
使用命令查看节点信息时候 ROLES 原来none [root@master .kube]# kubectl get nodes NAME STATUS ROLES AGE VERSION master Ready master 30m v1.10.0 node01 Ready 14m v1....
Kubernetes_认证授权_UserAccount_用户账号各种认证方式
毛毛的专栏
10-23 1477
梳理出UserAccount用户账号一条线
K8S集群节点角色设置
Dances with Cloud Native
05-04 1631
K8S集群节点角色设置
Kubernetes(K8S2020)从入门到实践(2)
02-17
Kubernetes,简称K8S,是一个开源,用于管理多个容器化的应用,提供了应用部署,规划,更新维护的一种机制。 学习要求: 本课程学习需要具有一定的Linux基础,并掌握Docker相关知识点。 知识讲解: 主要讲解K8S以下几个方面: 1.      K8S Pod相关知识 2.      K8S 控制器详解 3.      K8S 服务、Ingress和Metallb 4.      K8S的安全及用户管理 5.      K8S持久化存储 课件插图: 更多K8S课程: -  Kubernetes(k8s2020)从入门到实践(1) -  Kubernetes(k8s2020)从入门到实践(3)
K8S 笔记: 权限账号角色创建流程
255.255.255.0
06-03 624
权限账号创建流程 #创建zbx账号到kube-system空间 kubectl create serviceaccount zbx -n kube-system #创建角色kubectl create -f myroly.yaml kind: Role apiVersion: rbac.authorization.k8s.io/v1 metadata: namespace: kube-system name: myrolezzzzzzzzzzz rules: - apiGroups: [""
kubernetes RBAC实战 kubernetes 用户角色访问控制,dashboard访问,kubectl配置生成
Kubernetes中文社区
12-06 7169
kubernetes RBAC实战 环境准备 先用kubeadm安装好kubernetes集群,[包地址在此](https://market.aliyun.com/products/56014009/cmxz022571.html#sku=yuncode1657100000) 好用又方便,服务周到,童叟无欺 本文目的,让名为devuser的用户只能有权限访问特定namespa
使用kubeadm在CentOS7.9上安装Kubernetes1.23.5集群
"该资源提供了一种在CentOS 7.9系统上使用kubeadm安装Kubernetes 1.23.5集群的详细步骤,包括Docker的安装、配置镜像加速、k8s环境设置以及k8s组件的安装。" 在安装Kubernetes集群时,首先需要确保系统的软件包是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值